为了回应这个问题被标记为重复的问题,我在最后添加了一个部分来解释为什么这不是一个一般的恶意软件清除问题。
今天,我收到一个弹窗,说我将在 1 分钟后退出。果然,事情发生了。
我更新了 MSE、Malwarebytes Free 和 Spybot S&D free 的恶意软件定义,然后按顺序运行了完整扫描。后两者没有发现任何问题,但 MSE 报告了 Nemucod,并引用了 c:\ProgramData\Microsoft\Search\Data\Applications\Windows\tmp.edb。我通过 GUI 选择删除它,然后系统提示我重新启动。再次登录时,MSE 显示一条消息,说它正在清除恶意软件,不需要执行任何操作。几分钟后,MSE 再次显示警告,详细信息再次提到 Nemucod。因此,我再次执行了删除程序,但这似乎进入了“无限”循环(我的意思是到目前为止的迭代)。tmp.edb 的时间戳似乎总是与最近重新启动的时间一样近。
我使用管理员帐户并尝试手动删除 tmp.edb,但被告知资源繁忙。我以安全模式启动,但找不到 tmp.edb。只有当我再次以正常模式启动时,tmp.edb 才会重新创建。
网页浏览表明 tmp.edb 是 Windows 使用的数据库文件,但我不确定它是否与上面的路径完全相同。
我担心恶意软件并没有真正消失,MSE 会再次弹出警告。
我该怎么办?我正在使用 Windows 7 Professional 64 位。
为什么这不是一个通用的恶意软件删除问题
一位读者将此问题标记为重复了通用最佳实践和恢复线程,但如果它被接受为重复,则意味着通用原始线程排除了有关恶意软件的任何进一步问题。这个问题的特殊性包括它不一定是在问如何删除病毒。它甚至不假设存在感染。我描述了其他两个 AV 如何没有标记 MSE 标记的问题,以及引用的文件是 Windows 文件的事实。当我以安全模式启动时,它会消失。一些新的细节使这一点更难评估,那就是 Nemucod 存在的指标多种多样(例如这里和这里),这使得很难检查这是否是假阳性。
更新
为了查看新的 MSE 定义现在是否可以排除此触发器,我在 2018-12-16 EST 凌晨 2 点更新了定义并进行了全面扫描。触发器重复出现。但是,由于定义仍然是 2018-12-15 创建的定义,因此这并不奇怪。由于 tmp.edb 是 Windows Search 文件,我按照 Jatmin 的建议禁用了 Windows Search,并在重新启动后确认没有 tmp.edb。作为进一步的措施,我下载了 2018-12-16 07:44 EST 创建的新 MSE 定义并进行了全面扫描,结果很干净。但是,我发现 Windows Search 很有用,所以我重新启用了它,这导致重新启动后 MSE 发出警报(并且 tmp.edb 再次出现)。我希望 12:47 EST 创建的新定义不会生成警报,但它们仍然会生成警报。从积极的方面来看,我更新了 MalwareBytes Free 定义,并启用了 rootkit 检测 - 扫描结果很干净。
更新
我不敢相信这个问题在 2018-12-25 的病毒定义中仍然存在。为什么没有其他人遇到这个问题?
我已经把这个发布到微软论坛并将此事报告给微软。
答案1
您有多种方式可以确认或反驳特定安全产品声称文件已感染的说法。请注意,这两种方法都要求您与第三方共享文件*:
使用其他几家供应商的安全产品扫描可疑文件。因为最多安全产品不应该在同一台机器上并排安装,我知道的最简单的方法是使用网站VirusTotal.com. 根据他们的怎么运行的页:
VirusTotal 使用超过 70 种防病毒扫描程序和 URL/域黑名单服务检查项目,此外还使用大量工具从研究内容中提取信号......VirusTotal 会频繁更新由防病毒公司分发的恶意软件签名,这确保我们的服务使用最新的签名集。
但是,如果您不想使用此网站(或类似网站),您可以卸载现有的防病毒软件并安装另一个,尽管这似乎很麻烦。另一种选择是将文件带到另一台计算机上,但如果它是合法的,则可能会传播威胁。
向防病毒供应商提交误报报告。每个供应商的流程都不同,如果您确实需要他们回复威胁是否真实,则可能需要打开技术支持请求,而不是简单地使用他们的误报报告流程。您将被要求向他们发送文件的副本。
*在评论中,您分享了对与第三方共享可能受感染文件的担忧。虽然这是可以理解的,但您必须意识到,除非您自己能够分析文件,否则您别无选择,只能让第三方参与。而且由于没有人可以告诉您文件是否被感染,除非您自己分析。检查显而易见的结论是你必须与你要求确定文件是否被感染的任何人共享该文件。
答案2
这里的建议很蠢。暂时禁用 Windows 搜索,看看 tmp.edb 是否会在重启后消失。如果确实如此(应该如此),只需将 .edb 扩展名添加到 MSE 排除项中,或者至少将那个 tmp.edb 文件添加到排除项中。看来 winblows 正在将自己检测为病毒……这意味着它终于做对了!!(咯咯笑,实际上我喜欢 winblows - 它运行游戏比我的 linux 机器好得多 :-)。